الأسئلة المتكررة الخارجية حول PCI ASV

يشير PCI ASV إلى المتطلب 11.2.2 من متطلبات معيار أمان البيانات في مجال بطاقات الدفع وإجراءات تقييم الأمن التي تتطلب عمليات فحص خارجية للثغرات الأمنية، والتي يجب إجراؤها (أو التصديق عليها) من جانب مورِّد فحص معتمد. وتُعد ASV مؤسسة لديها مجموعة من الخدمات والأدوات ("حل الفحص ASV")؛ للتحقق من الالتزام بمتطلبات الفحص الخارجي في المتطلب PCI DSS 11.2.2.

يتطلب معيار PCI DSS فحص الثغرات الأمنية لجميع مكونات النظام التي يمكن الوصول إليها خارجيًا (المواجهة للإنترنت) التي يمتلكها أو يستخدمها عميل الفحص والتي تُعد جزءًا من بيئة بيانات حامل البطاقة، بالإضافة إلى أي مكون نظام مواجه خارجيًا يوفر مسارًا إلى بيئة بيانات حامل البطاقة.

تتكون المراحل الأساسية لفحص ASV من:

• تحديد النطاق: يقوم العميل بأدائه ليشمل جميع مكونات النظام المواجهة للإنترنت، والتي تُعد جزءًا من بيئة بيانات حامل البطاقة.
• الفحص: باستخدام قوالب Tenable Vulnerability Management PCI وWAS المُحددة. ويمكن فحص أقسام بيئة بيانات حامل البطاقة (CDE) المتعددة على حدة.
• دمج عمليات الفحص المتعددة في عملية تصديق واحدة
• تقديم التقارير/المعالجة: تنتج عن معالجة التقارير المرحلية.
• حل النزاعات: يعمل العميل ومورِّد الفحص المعتمد (ASV) (شركة Tenable) معًا لتوثيق نتائج الفحص المتنازع عليها وحلها.
• إعادة الفحص (عند الضرورة): حتى إنشاء عملية فحص ناجحة من شأنها حل النزاعات والاستثناءات.
• دمج عمليات الفحص المتعددة في عملية تصديق واحدة
• التقرير النهائي: يتم إرساله وتسليمه بطريقةٍ آمنة.

يجب القيام بعمليات فحص الثغرات الأمنية لمورِّد الفحص المعتمد (ASV) كل ثلاثة أشهر على الأقل وبعد أي تغيير كبير في الشبكة، مثل عمليات تثبيت مكونات جديدة في النظام، أو التغييرات في تخطيط الشبكة، أو تعديلات قاعدة جدار الحماية، أو ترقيات المنتج.

يُجري مورِّد الفحص المعتمد على وجه التحديد عمليات فحص الثغرات الأمنية الخارجية فقط، كما هو موضح في PCI DSS 11.2. ويشير مُقيِّم الأمن المؤهل (QSA) إلى شركة التقييم التي تم تأهيلها وتدريبها من جانب مجلس معايير أمن PCI لإجراء تقييمات PCI DSS العامة في الموقع.

نعم. تُعد شركة Tenable مؤهلةً بصفتها مورِّد فحص معتمدًا (ASV)؛ للتحقق من صحة عمليات فحص الثغرات الأمنية الخارجية في بيئات واجهة الإنترنت (المستخدمة لتخزين بيانات حامل البطاقة أو معالجتها أو نقلها) الخاصة بالتجار ومقدمي الخدمات. تتكون عملية تأهيل مورِّد الفحص المعتمد (ASV) من ثلاث مراحل: تتضمن المرحلة الأولى تأهيل Tenable Network Security كمورِّد. وتتعلق المرحلة الثانية بتأهيل موظفي Tenable المسؤولين عن خدمات فحص PCI عن بُعد. يتكون الثالث من اختبار الأمان لحل الفحص عن بعد من Tenable (Tenable Vulnerability Management و Tenable PCI ASV).

يمكن لمورِّدي الفحص المعتمدين (ASVs) إجراء عمليات الفحص. ومع ذلك، تعتمد شركة Tenable على العملاء لإجراء عمليات الفحص الخاصة بهم باستخدام قالب الفحص الخارجي ربع السنوي PCI. يمنع ذلك القالب العملاء من تغيير إعدادات التكوين، مثل تعطيل عمليات التحقق من الثغرات الأمنية، وتعيين مستويات الخطورة، وتعديل معلمات الفحص، وما إلى ذلك. يستخدم العملاء أدوات الفحص المعتمدة على السحابة في Tenable Vulnerability Management لفحص البيئات المواجهة لشبكة الإنترنت ومن ثم إرسال تقارير الفحص المتوافقة إلى Tenable للمصادقة عليها. تصدق شركة Tenable على تقارير الفحص، ثم يرسلها العميل إلى المشترين أو العلامات التجارية لخدمات الدفع بتوجيه من العلامات التجارية لخدمات الدفع.

بيانات الثغرات الأمنية ليست بيانات توجيه حماية البيانات للاتحاد الأوروبي 95/46/EC، لذا فإن أي متطلبات خاصة بموقع البيانات ستكون مستندة إلى العميل وليس إلى الجهة التنظيمية. ويمكن أن يكون للمنظمات الحكومية التابعة لدول الاتحاد الأوروبي متطلباتها الخاصة بموقع البيانات، ولكن يجب تقييم هذه المتطلبات على أساس كل حالة على حدة، ولا تمثل مشكلة على الأرجح لعمليات فحص PCI-ASV.

نعم، يتضمن Tenable Vulnerability Management ترخيص PCI ASV لأصل PCI واحد وفريد. وقد بذلت بعض المؤسسات كل ما في وسعها للحد من الأصول الموجودة في النطاق الخاصة بمجال بطاقات الدفع، عن طريق الاستعانة بمصادر خارجية لوظائف معالجة الدفع في الغالب. ونظرًا لأن هؤلاء العملاء "ليسوا في مجال عمل PCI"، فقد بسطت شركة Tenable عمليات الشراء والترخيص الخاصة بها. ويمكن للعميل تغيير الأصل الخاص به كل 90 يومًا.

بالنسبة للعملاء الذين لديهم أكثر من أصل PCI واحد وفريد، يتم ترخيص حل Tenable PCI ASV كإضافة إلى اشتراكات Tenable Vulnerability Management.

يمكن أن يتغير عدد الأجهزة المضيفة المواجهة للإنترنت التي توجد داخل بيئة بيانات حامل البطاقة الخاصة بالكيان، أو توفر مسارًا إليها بشكلٍ متكرر، وهو ما يؤدي بدوره إلى خلق تعقيد الترخيص. وقد اختارت شركة Tenable استخدام نهج ترخيص أبسط.

يمكن للعملاء تقديم عدد غير محدود من عمليات التصديق ربع السنوية.

نعم. يمكن لعميل التقييم استخدام قالب الفحص الخارجي ربع السنوي PCI لفحص الأصول ومراجعة النتائج. ولكن، لا يمكنه تقديم تقارير الفحص للتصديق عليها.

سيتم تفعيل الإمكانية الجديدة تلقائيًا في 24 يوليو 2017؛ بحيث يمكن للعملاء استخدامها في فحص PCI ASV القادم. ولن يحتاج العملاء الحاليون إلى ترخيص إمكانية PCI ASV الجديدة لمدة لا تقل عن عام واحد.

سيبدأ عملاء SecurityCenter® الذين قاموا بالفعل بترخيص الفحص الخارجي/فحص PCI في استخدام Tenable PCI ASV بعد أن يصبح متاحًا. وعند التجديد، يمكن لهؤلاء العملاء التجديد ببساطة باستخدام وحدات حفظ المخزون الموجودة لديهم. ولكن، قد يكون من مصلحتهم ترخيص الحل Tenable PCI ASV بدلاً من ذلك.